PDA

Visualizza versione completa : Per favore chiedo aito ai colleghi piu esperti per problemi spyware etc..


michele_2102
22-04-2006, 08.50.33
Ho preso un trojan uno pyware, mi si aprono finestre come se il browser (opera) fosse impazzito, ho provato con ad-aware ma non ce la fa a togliermelo mi dice che il file si trova in windows/system32/pero poi rimane li e tutte le volte cambia nome, ho provato con spyware teminator ma nulla, anzi, nemmeno lo trova, adesso cerco un collega che mi dia una mano, un consiglio, perche non rieso piu a lavorare con il PC.
Io uso spesso il programma per scaricare file Bear share e credo il problema sia entrato da li...

crazy.cat
22-04-2006, 09.23.46
Dovresti dare qualche dettaglio in pi¨.

come si chiama il problema che ti trova adware?
se Ŕ un trojan prova a fare la scansione dalla modalitÓ provvisoria con scangui o syslcean
http://www.wintricks.it/manuali/tools_rapidi.html

se non risolvi fai una scansione con hijackthis e posta il log del risultato.

michele_2102
22-04-2006, 09.50.48
TI RINGRAZIO MILLE IN QUANTO MI HAI FATTO RICORDARE IL PROGRAMMA CHE USAVO ALCUNI ANNI FA CHE MI RISOLSE TANTISSIMI PROBLEMI...CIOE HIJACKTHIS....ADESSO FACCIO LA SCANSIONE E TI POSTO IL LOG.
IL PROBLEMA CHE MI TROVA AD-AWARE E IL SEGUENTE:
ADWARE.LOOK2ME E POI UN ALTRA VOCE MRU-LIST DOVE CI SONO (DICE) 12 OGGETTI IN TOTALE.
QUANDO FACCIO LA CANCELLAZIONE MI DICE CHE NON PUO TOGLIERE IL FILE CHE SI TROVA IN WINDOWS/SYSTEM32 ED IL CUI NOME Ŕ DIVERSO TUTTE LE VOLTE. DICE INOLTRE CHE POTREBBE FARLO AL PROSSIMO RIAVVIO DI WINDOWS, IO INFATTI RIAVVIO IL COMPUTER SPERANDO CHE PARTA AUTOMATICAMENTE AD AWARE, MA COSA STRANA NON SUCCEDE, (E PRIMA INVECE IN ANALOGA SITUAZIONE PARTIVA AUTOMATICAMENTE AL RIAVVIO DEL PC QUANDO NON RIUSCIVA AD ELIMINARE QUALCOSA IN UNA SCANSIONE ORDINARIA)
DA SEGNALARE CHE HO USATO ANCHE EWIDO CHE MI HA TROVATO MIGLIAIA DI PORCHERIE MA PURTROPPO AD AWARE TROVA SEMPRE STO MALEDETTO "ADWARE.LOOK2ME".

michele_2102
22-04-2006, 10.16.09
questo e il log, considera che questo e il secondo che faccio, la prima volta ho cancellato delle cose, ma nel mio browser (opera) continuano ad aprirsi delle finestre lo stesso.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\Belkin\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Belkin\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\michele\Documenti\software\hijackthis_199 \HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [E06IXLRD_138078] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A51DE83-8D3A-4FB3-A544-FC6E2A5CF6AD}: NameServer = 85.37.17.5 85.38.28.77
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\l80u0id9e80.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe

crazy.cat
22-04-2006, 10.58.47
C'Ŕ questa dll molto sospetta
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\l80u0id9e80.dll

Ho poi trovato qesta discussione
http://www.geekstogo.com/forum/lofiversion/index.php/t106198.html
dove si segnala un tools per il Look2Me

c'Ŕ anche questa
http://www.pchell.com/support/look2me.shtml

qui c'Ŕ un altro tools
http://www.symantec.com/avcenter/venc/data/spyware.look2me.html

facci sapere quale funziona

michele_2102
22-04-2006, 13.14.22
la prima utility funziona alla grande...e semplice, fa tutto da sola..basta lanciarla e risolve il problema, TI RINGRAZIO MILLE SEI DAVVERO COMPETENTE NEL TUO MESTIERE. E WINTRIKS E UNA ISTITUZIONE.

Grouchomarx
22-04-2006, 14.30.51
Prova con Spybot da modalitÓ provvisoria. E posta un log.

Semi.genius
22-04-2006, 15.55.51
http://www.pchell.com/support/look2me.shtml